Informazioni su come gestire il profilo di inoltro del traffico di accesso a Internet
Il profilo di inoltro del traffico di accesso a Internet instrada il traffico internet tramite il client di Accesso globale sicuro. L'abilitazione di questo profilo di inoltro del traffico consente ai lavoratori remoti di connettersi a Internet in modo controllato e sicuro. Con le funzionalità di Accesso a Internet Microsoft Entra, è possibile controllare i siti Internet a cui è possibile accedere. È anche possibile configurare il traffico da escludere dall'Accesso globale sicuro in base a indirizzi IP, intervalli di indirizzi IP, subnet IP e nomi di dominio completi (FQDN).
Prerequisiti
Per abilitare il profilo di inoltro dell’accesso a Internet per il tenant, è necessario disporre di:
- Un ruolo di Amministratore di Global Secure Access in Microsoft Entra ID.
- Il prodotto richiede licenze. Per informazioni dettagliate, vedi la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario è possibile acquistare licenze o ottenere licenze di test.
Criteri del profilo di inoltro del traffico di accesso a Internet
Visualizzare i criteri correlati al profilo di inoltro del traffico di accesso a Internet. Vi sono tre criteri per impostazione predefinita. Per visualizzarli:
- Accedere al Centro di amministrazione di Microsoft Entra come Amministratore dell’Accesso globale sicuro.
- Passare a Accesso globale sicuro>Connessione>Inoltro del traffico.
- Selezionare il collegamento Visualizza nella sezione Criteri di accesso a Internet.
I criteri di accesso a Internet predefiniti includono:
- Bypass personalizzato Contiene traffico/endpoint definiti dall'utente che sono esclusi dal profilo del traffico Internet. In altre parole, si definisce il traffico che il profilo non deve acquisire. In genere, è possibile escludere il traffico, ad esempio gli endpoint VPN, gli intervalli IP privati e gli intervalli IP squat e gli endpoint che sfruttano un elenco di Controllo di accesso di rete.
- Bypass predefinito Contiene traffico predefinito che il profilo del traffico Internet non acquisisce. Ad esempio, intervalli IP privati. Non è possibile modificare le regole in questo criterio.
- Impostazione predefinita Acquisisci Definisce il traffico acquisito dal profilo del traffico Internet. Attualmente, è tutto il traffico Internet sulle porte 80, 443 su TCP (Transmission Control Protocol). Il criterio ha la precedenza più bassa dopo la valutazione di tutte le regole di bypass. Non è possibile modificare le regole in questo criterio.
Esempio di aggiunta di un criterio di bypass personalizzato:
- Accedere al Centro di amministrazione di Microsoft Entra come Amministratore dell’Accesso globale sicuro.
- Passare a Accesso globale sicuro>Connessione>Inoltro del traffico.
- Nell'area Profilo di inoltro del traffico di accesso a Internet, nella sezione Criteri di accesso a Internet, selezionare il collegamento Visualizza
- Espandere il criterio Bypass personalizzato.
- Selezionare Aggiungi regola.
- Scegliere un tipo di destinazione, come il Nome di dominio completo (FQDN). È possibile aggiungere più valori di destinazione delimitati da virgole. Non aggiungere uno spazio vuoto. Ad esempio,
contoso.com,fabrikam.como10.0.0.1/32,10.0.0.2/32. Le porte, il protocollo e l'azione sono sempre fisse e non possono essere modificate. - Immettere una destinazione valida.
- Selezionare Salva.
Nota
Il traffico viene valutato dall'alto verso il basso, il che significa che viene acquisito solo dal profilo di traffico Internet se non viene ignorato in una delle regole di bypass.
Assegnazioni di utenti e gruppi
È possibile definire l'ambito del profilo di Accesso a Internet a utenti e gruppi specifici.
Per ulteriori informazioni sull'assegnazione di utenti e gruppi, vedere Come assegnare e gestire utenti e gruppi con profili di inoltro del traffico.
Abilitare il profilo di inoltro del traffico di accesso a Internet
Per abilitare il profilo di inoltro di Accesso a Internet Microsoft Entra per inoltrare il traffico utente:
- Accedere al Centro di amministrazione di Microsoft Entra come Amministratore dell’Accesso globale sicuro.
- Passare a Accesso globale sicuro>Connessione>Inoltro del traffico.
- Impostare i criteri nel profilo di traffico. Ad esempio, impostare una regola di bypass personalizzata per escludere traffico specifico.
- Abilitare il Profilo di accesso a Internet. Il traffico Internet inizia l'inoltro da tutti i dispositivi client al proxy SSE (Security Service Edge) di Microsoft, in cui si configurano criteri di sicurezza granulari.
Nota
Quando viene abilitato il profilo di inoltro di Accesso Internet, è necessario abilitare anche il profilo di inoltro del traffico Microsoft per il routing ottimale del traffico Microsoft. È possibile abilitare il profilo del traffico Microsoft selezionando la casella di controllo del profilo nella stessa pagina in cui si abilita il profilo di inoltro del traffico di accesso a Internet. Per altre informazioni sul profilo di inoltro del traffico Microsoft, vedere Come abilitare e gestire il profilo Microsoft.
Convalidare il profilo di inoltro del traffico di accesso a Internet
Una regola aggiunta a un criterio richiede 10-20 minuti per essere visualizzata nel client sul computer di un utente. Se la regola non viene visualizzata dopo questo periodo di tempo, disabilitare e poi riabilitare il profilo di inoltro del traffico di accesso a Internet.
Per convalidare il profilo di inoltro del traffico, i criteri di inoltro del traffico e le regole:
- Nella barra delle applicazioni, fare clic con il pulsante destro del mouse sul client di Accesso globale sicuro e selezionare Diagnostica avanzata.
- Aprire un web browser e andare su una destinazione nella rete interna. Confermare che il traffico non viene acquisito.
- Aprire un Web browser e passare a una destinazione ignorata. Confermare che il traffico non viene acquisito.
- Aprire un Web browser e passare a una destinazione pubblica acquisita dal profilo. Verificare che il traffico venga acquisito nel canale Internet.